跳到主要內容

Menu

資訊安全政策及管理方案

資訊安全政策

目的:為強化本公司資訊安全管理,確保資訊資產的機密性、完整性與可用性,以維持本公司業務持續運作之資訊環境,並符合相關政府法規與內外部利害相關人之要求,使其避免遭受內、外部的蓄意或意外之任何威脅,達到資訊安全特訂定本政策。

範圍:本公司全體同仁、接觸本公司業務資訊或提供服務之廠商及第三方人員。

資訊安全風險架構

    1. 本公司已設置資訊安全管理委員會(以下簡稱資安委員會),由總經理擔任主任委員,副主任委員由資訊主管副總擔任,執行秘書由資訊主管擔任,委員會成員為全體一級主管擔任,並於111年11月設立資安專責主管及資安專責人員。
    2. 資安委員會主要負責資訊安全管理政策與制度之擬議、公司內部資安認知宣導與教育訓練計畫之擬議、資安管理制度適法性與合宜性之審議及評估、確認本公司資訊安全管理運作之有效性等。

資訊安全政策目標

為維護本公司資訊資產之機密性、完整性與可用性,藉由全體同仁共同努力來達成下列目標:

    1. 保護本公司業務相關活動資訊,保障公司機密與個人資訊避免未經授權的存取或修改,確保其正確完整。
    2. 尊重智慧財產權,保護公司資訊。
    3. 符合相關法令或法規之要求,並維持公司業務持續運作。

責任

    1. 全體同仁應積極參與及支持各項資訊安全管理措施並透過適當的要點和作業流程,以實施此政策。
    2. 所有與業務營運相關之人員、組織、服務提供廠商、委外廠商與訪客等均須依循本政策。
    3. 全體同仁及委外服務廠商均有責任透過適當通報機制,通報資訊安全事故或弱點。
    4. 任何危及資訊安全之行為,將視情節輕重追究其民事、刑事責任並依本公司之相關規定進行懲處。

資訊安全管理措施

    1. 本公司內部訂定多項資安要點,以規範本公司人員作業行為,每年檢視資安政策與要點是否符合外在環境變遷,並依適法性及合宜性調整。
    2. 資訊安全是全體同仁共同之責任,本公司全體同仁應遵守法律規範與資訊安全目標,各級主管應督導資訊安全落實情況,強化同仁資訊安全認知及遵法概念。
    3. 日常作業中應確實遵守「個人資料保護法」及「著作權法」等其他資訊安全相關之法令,保護本公司業務活動資訊,避免未經授權的存取、修改,以確保其正確完整。
    4. 應使用公司採購具合法版權軟體,避免上網下載來路不明之軟體。
    5. 凡領取使用者帳號後,應立即自行設定密碼,個人電腦及主機或網路設備之密碼須定期更換,使用者不得將自己的使用者帳號與密碼交付他人使用。
    6. 個人電腦均應安裝端點防護軟體,如發現端點防護軟體遭移除、無法刪除病毒或發現資安風險時,應通報資訊處或各廠資訊人員,以便派員協助處理。
    7. 電子郵件系統之電郵收發均經防毒防駭監控分析流程,惟仍有誤判或誤漏之虞,同仁收發郵件時如有發現異常信件,應主動通知資訊處。
    8. 為因應各種內外部資安威脅,本公司已部署各面向資安防護設備構建成多層式資安防護機制,以提昇整體資訊環境之安全性。
    9. 本公司資訊資產皆應安裝端點防護軟體、資產管理軟體,相關使用及操作軌跡均會記錄。
    10. 本公司每年定期實施社交工程演練及資訊安全教育訓練,以提昇內部人員資訊安全意識。
    11. 本公司於111年01月加入「台灣CERT/CSIRT」聯盟。

具體管理措施如下表:

類型說明相關作業
權限管理人員帳號、權限之管理措施
  • 員工帳號及電子郵件申請異動作業
存取管控人員存取內外部系統及資料傳輸管道之控制措施
  • 網路存取權限管理作業
  • 網路頻寬管理作業
  • 軟體資產管理作業
  • 檔案分享系統作業
內外部威脅
  • 外部網路攻擊
  • 內部弱點防護
  • 防毒與防護措施
  • 資安事件作業
  • 防毒系統管理工作
可用性系統可用狀態與服務中斷時之處置措施
  • 資訊設備故障排除作業流程
  • 資訊機房資訊設備異常處理作業流程
  • 定期災害復原演練


112年度執行情形

    • 112年度召開1次資安委員會會議。
    • 112年度共舉辦2次「資訊安全教育訓練」,共計342人次參訓,訓練總時數計6小時。
    • 112年度辦理2次社交工程演練,員工受測涵蓋率為100%,加強員工對於資訊安全風險之應變與資安意識,落實資安控管。
    • 112年度辦理2次災害復原演練,以縮短資訊服務系統中斷的影響時間。

更新日期112年12月15日

Top